Nach dem die Berliner Beauftragte für den Datenschutz und Informationsfreiheit bereits letztes Jahr alle gängigen Videokonferenzsysteme einer datenschutzrechtlichen Überprüfung unterzogen hat und hier die meistgenutzten Tools nicht besonders gut wegkamen, hat Sie die Dienste nun erneut überprüft: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2021-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf

Das Ergebnis ist allerdings wieder recht ernüchternd, da einige Dienste nicht besser, sondern eher noch schlechter abschneiden.

Was wurde überprüft?

Überprüft wurden ausschließlich Dienste, welche als Software-as-a-Service (SaaS) angeboten werden. Aus datenschutzrechtlicher Sicht wurden die Auftragsverarbeitungsverträge mit den Dienstleistern sowie die technischen und organisatorischen Maßnahmen geprüft.

Als problematisch wurden in den Auftragsverarbeitungsverträgen vor allem Klauseln angesehen, welche eine Eigennutzung der Daten durch die Dienste einräumen, Betroffenenrechte einschränken, Unterauftragnehmer nicht genau definieren und/oder ungerechtfertigte Datenübermittlungen (vor allem in die USA) nicht verhindern.

Die Ergebnisse werden als Ampeln dargestellt. Rot bedeutet, dass Mängel vorliegen, die eine rechtskonforme Nutzung des Dienstes ausschließen. Gelb bedeutet, dass zwar Mängel vorliegen, die einen rechtskonformen Einsatz derzeit nicht ermöglichen, mit wenig Aufwand die Mängel aber abgestellt werden könnten. Grün bedeutet, dass der Dienst keine Mängel aufweist. Die Mängel wurden in die drei Kategorien Vertrag, Dienstleister und Export klassifiziert und jeweils dem Ergebnis aus der Ampel zugeordnet.

Wie schneiden die Dienste ab?

Was zuerst auffällt ist, dass kein Dienst, welcher von den bekanntesten Anbietern stammt, mit einer guten Bewertung davonkommt. Bei allen zeigt die Ampel Rot. Dazu gehören unter anderem Cisco Webex, Google Meet, GoToMeeting, Microsoft Teams, Skype (for Busniess), TeamViewer Meeting und Zoom. Die Berliner Datenschutzbeauftragte weist zwar daraufhin, dass viele Dienste z. Bsp. ihre Sicherheitsmaßnahmen verbessert haben, andererseits ist aber auch ein Dienst wie Cisco Webex aufgrund von nicht ausreichenden Maßnahmen bei Datenexporten von Gelb auf Rot gesprungen. Die verbesserten Sicherheitsmaßnahmen waren also zum Großteil noch nicht ausreichend, um zu einer besseren Bewertung zu führen.

Gut schneiden vor allem eher unbekanntere Dienste wie meetzi, alfaview, BigBlueButton, sichere-videokonferenz.de oder Wire Pro ab. Auch die Überprüfung der Sicherheitsmaßnahmen fiel hier bei den meisten positiv aus.

Was folgt aus diesen Bewertungen?

Zunächst ist festzuhalten, dass dieses Hinweispapier ausschließlich Geltung für Unternehmen mit Sitz in Berlin hat. Es lässt sich jedoch nicht ausschließen, dass sich auch andere Datenschutzbehörden an dieser Bewertung orientieren.

Die Berliner Datenschutzbeauftragte hat angekündigt, dass nach der zweiten Überprüfung nun auch genauer hingeschaut werde, ob Dienste, die mit einer roten Ampel bewertet wurden, auch weiterhin eingesetzt werden. Sie empfiehlt Unternehmen die Umstellung auf einen der ihrer Meinung nach zahlreichen datenschutzkonformen Videodienste.

Zur Orientierung und bei der Auswahl eines Dienstes kann dieses Hinweispapier definitiv hilfreich sein. In vielen Kritikpunkten der Bewertung ist der Berliner Aufsicht sicherlich auch zuzustimmen. 

Für viele Unternehmen wird eine Umstellung auf ein anderes Videokonferenzsystem aber wahrscheinlich vom Aufwand her eher unverhältnismäßig und die Alternativen auch technisch nicht immer so gut nutzbar wie die Dienste der bekannten Anbieter sein. Dies gilt vor allem für Videokonferenzen in gewissen Größenordnungen.

Daher ist festzustellen, dass es sich bei diesem Hinweispapier vor allem um die Auffassung einer einzelnen Aufsichtsbehörde handelt und andere Datenschutzaufsichtsbehörden teilweise auch ganz andere Standpunkte beim datenschutzkonformen Einsatz von Videokonferenztools haben können. In der derzeitigen Situation macht diese Bewertung der Berliner Aufsicht die Situation für Unternehmen, wo weite Teile des Arbeitslebens aufgrund von Kontaktbeschränkungen online stattfinden müssen, nicht einfacher.

Das Hinweispapier ist bei der Auswahl eines Videokonferenztools sicherlich ein guter Wegweiser. Für Verantwortliche, welche ein Tool mit Roter Ampel nutzen, muss dies nun aber nicht sofort heißen, dass ein neuer Anbieter gesucht werden muss. Durch den Abschluss von Auftragsverarbeitungsvereinbarungen, Standardvertragsklauseln, die Auswahl von europäischen Servern für die Speicherung der Daten und möglichst datenschutzkonforme Einstellungen der Software sollten die meisten Videokonferenztools auch weiterhin so datenschutzkonform wie möglich genutzt werden können.